Hacken nach Ver­ordnung: Bedrohungs­basierte Pene­trations­tests nach DORA

Mit dem Digital Operational Resilience Act (Verordnung (EU) 2022/2554, „DORA“) wurde zur Stärkung der Cyber-Resilienz von regulierten Finanz- und Versicherungsunternehmen ein europäischer Rechtsrahmen zum Umgang mit IKT-Systemen und – in der Praxis häufig an IKT-Drittdienstleister ausgelagerte – IKT-Dienstleistungen geschaffen, welcher am 16.01.2023 in Kraft trat und seit dem 17.01.2025 Anwendung findet (vgl. dazu unsere Insights Digital Operational Resilience Act (DORA) – Bedeutung für den Finanzsektor sowie Wenn IT-Dienstleister der Finanzaufsicht unterstehen: Ein Überblick über den Aufsichtsrahmen nach DORA).

Da der zunehmende Einsatz von IKT-Systemen und IKT-Dienstleistungen betriebliche Risiken wie Systemstörungen oder -ausfälle durch die Abhängigkeit von IKT-Drittdienstleistern und Cyberangriffe mit sich bringt, ist es einer der Zwecke der DORA, die digitale operationale Resilienz im Finanzsektor zu stärken. Als ein Instrument zur Stärkung ihrer entsprechenden Resilienz werden die in dem Anwendungsbereich von DORA fallenden Finanzunternehmen durch die Regelungen in Kapitel IV DORA (Art. 24 bis 27 DORA) verpflichtet, ihre digitale operationale Resilienz regelmäßig durch Testprogramme zu prüfen und ihre IKT-Systeme und IKT-Dienstleistungen regelmäßig – und insbesondere mittels Threat Led Penetration Testing („TLPT“) – auf Schwachstellen zu untersuchen.

Nach den Vorgaben gemäß Art. 24 und 25 DORA haben Finanzunternehmen sicherzustellen, dass alle IKT-Systeme und -Anwendungen, die kritische oder wichtige Funktionen unterstützen, mindestens einmal jährlich durch – im Einzelnen nicht vorgegebene – Prüfverfahren getestet werden. Beispielhaft werden hierzu Untersuchungen zu Lücken und Schwachstellen in Softwarelösungen, dem zugrunde liegenden Quellcode, der Netzwerksicherheit und der physischen Sicherheit sowie szenariobasierte Tests aufgezählt.

Einen Paradigmenwechsel stellt dabei insbesondere die Einführung der Pflicht dar, bedrohungsorientierte Penetrationstests oder TLPT nach Maßgabe von Art. 26 und 27 DORA vorzunehmen, deren Durchführung unter dem bisherigen „TIBER-DE-Testrahmen“ der Bundesbank noch freiwillig war. Von den zuständigen Aufsichtsbehörden ausgewählte Finanzunternehmen müssen danach im Live-Betrieb ihre Produktionssysteme – die auch solche IKT-Dienstleistungen umfassen müssen, die kritische Funktionen unterstützen, deren Bereitstellung an IKT-Drittdienstleister ausgelagert worden sind (häufig Rechenzentrums- oder Cloud-Service-Dienstleister), mindestens alle drei Jahre TLPT unterziehen. Im Rahmen von TLPT führt ein aus White-Hat Hackern bestehendes „Red Team“ durch ein aus Mitarbeitern des Finanzunternehmens und ggf. des betroffenen IKT-Drittdienstleisters bestehendes „Kontrollteam“ geplante und koordinierte realitätsnahe Angriffe auf Basis aktueller Bedrohungsinformationen auf IKT-Systeme und IKT-Infrastruktur des Finanzunternehmens durch, um die digitale operationelle Resilienz zu testen. Die als „Blue Team“ bezeichneten für die IT-Sicherheit zuständigen Abteilungen im Finanzunternehmen werden hierüber nicht informiert. Finanzunternehmen und besonders IKT-Drittdienstleister begegneten TLPT unter dem TIBER-DE-Testrahmen wegen Reputationsrisiken sowie möglicher Störungen des Geschäftsbetriebs überwiegend zurückhaltend bis ablehnend.

Unter DORA entfällt die Freiwilligkeit für TLPT nun endgültig. Um die Mitwirkung der IKT-Drittdienstleister der Finanzunternehmen an TLPT sicherzustellen, legt Artikel 30 Abs. 3 lit. d DORA fest, dass Finanzunternehmen ihre IKT-Drittdienstleister in Auslagerungsverträgen vertraglich zu verpflichten haben, sich nach Maßgabe von Art. 26 und 27 DORA an den TLPT zu beteiligen und uneingeschränkt an diesen mitzuwirken. Darüber hinaus finden sich in den Artikeln 26 und 27 DORA sowie in der kürzlich am 18.06.2025 auf Basis von Art. 26 Abs. 11 DORA veröffentlichten Delegierten Verordnung (EU) 2025/1190 („DV-TLPT“) detaillierte und verbindliche Vorgaben zum Testumfang, den auszuwählenden Testern, der Testmethodik und des Testkonzepts für jede einzelne Phase des Testverfahrens. Die Verantwortung für die regelkonforme Durchführung der TLPT legt DORA dabei ausschließlich den Finanzunternehmen auf (Art. 26 Abs. 3 und 8 DORA sowie Art. 4 ff. DV-TLPT).

Die vertraglichen Handlungsspielräume der an den TLPT beteiligten Parteien wird sich damit in Zukunft an den zwingenden DORA-Vorgaben auszurichten haben. Die in der Praxis häufig vorzufindende Haltung, dass IKT-Drittdienstleister bedrohungsbasierte Penetrationstests nicht oder nur zu ihren eigenen Bedingungen erheblich eingeschränkt zulassen, wird sich aufgrund der Vorgaben der DORA damit nicht mehr aufrechterhalten lassen. Dies gilt umso mehr, als nach § 56 Abs. 5e Nr. 3 KWG, der im Zusammenhang mit der Anwendbarkeit von DORA vom nationalen Gesetzgeber neu eingeführt wurde, dem Finanzunternehmen empfindliche Bußgelder drohen, wenn entgegen Artikel 26 Abs. 1 S. 1 DORA ein Test nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig durchführt wurde.

Zusammenfassend führen die verschärften Anforderungen nach DORA zu einem grundlegenden Wandel der IT-Testpraxis der Finanzbranche. Betroffene Finanzunternehmen und IKT-Drittdienstleister sind daher gut beraten, die notwendigen vertragliche Regelungen klar an die DORA-Vorgaben zu knüpfen und deren Umsetzung strikt zu kontrollieren – denn Hacken erfolgt ab sofort verbindlich nach Verordnung.